How to ：在域環(huán)境中配置ISA Server 2004 （非常感謝Ronald Beekelaar ，他做的ISA Server 2004 LAB 是如此的精致，只需要我些許的修改幾個(gè)地方，就

How to ：在域環(huán)境中配置ISA Server 2004 （非常感謝Ronald Beekelaar ，他做的ISA Server 2004 LAB 是如此的精致，只需要我些

許的修改幾個(gè)地方，就可以完成這個(gè)比較復(fù)雜的試驗(yàn)）

很多朋友提出了在域環(huán)境中不能正確配置ISA Server 2004的問(wèn)題，主要集中在無(wú)法引用域用戶和DN S 無(wú)法解析。在這篇文章中，我以一個(gè)域環(huán)境實(shí)例，來(lái)給大家介紹如何在域環(huán)境中配置ISA Server 200

4。從這篇文章，你可以學(xué)習(xí)到如何在域環(huán)境中配置ISA 防火墻、啟用域用戶的身份驗(yàn)證、配置內(nèi)部客戶、配置域控上的DNS 轉(zhuǎn)發(fā)和建立訪問(wèn)規(guī)則。

這個(gè)試驗(yàn)的網(wǎng)絡(luò)拓樸結(jié)構(gòu)如下圖所示：

這是一個(gè)由三臺(tái)計(jì)算機(jī)組成的域環(huán)境，也許看起來(lái)很簡(jiǎn)單，但是卻已經(jīng)足以模擬域環(huán)境中配置ISA Serve r 中的大部分操作。其中：

? Denver （DC/Dns server ）

FQDN ：denver.contoso.com ；

IP ：10.2.1.2/24；

DG ：10.2.1.1；

DNS ：10.2.1.2；

備注：這是一臺(tái)域控，默認(rèn)網(wǎng)關(guān)是ISA Server 的內(nèi)部接口，DNS 設(shè)置為本機(jī)。 ? Florence （ISA Server 2004）

FQDN ：Florence （目前還處于工作組環(huán)境，沒(méi)有加入域，我會(huì)在后面的操作中將其加入域）；

（1）Internal Interface ：

IP ：10.2.1.1/24

DG ：none

DNS ：10.2.1.2

（2）External Interface ：

IP ：61.139.1.1/24

DG ：61.139.1.1

DNS ：none

備注：ISA Server 上的IP 設(shè)置比較講究，首先DNS 只能設(shè)置為內(nèi)部AD 的DNS 服務(wù)器，然后默認(rèn)網(wǎng)關(guān)為外部出口。

? Sydney （Dns/Web server ）

FQDN ：www.isacn.org

IP ：61.139.1.2/24

DG ：61.139.1.1

DNS ：61.139.1.2

備注：這臺(tái)計(jì)算機(jī)用來(lái)模擬外部的DNS 和Web 服務(wù)器。后面我們會(huì)在內(nèi)部的DC 上設(shè)置DNS 的轉(zhuǎn)發(fā)，將非域的DNS 解析請(qǐng)求轉(zhuǎn)發(fā)到此DNS 服務(wù)器上，然后通過(guò)域名www.isacn.org 來(lái)訪問(wèn)這臺(tái)Web 服務(wù)器上的一個(gè)Web 站點(diǎn)。

在這篇文章中，我們會(huì)通過(guò)以下步驟來(lái)為內(nèi)部域中配置ISA Server 2004防火墻：

?

?

?

?

?

?

?

?

?

?

? 在獨(dú)立服務(wù)器上安裝ISA 防火墻； 將ISA 防火墻計(jì)算機(jī)加入域； 在ISA 防火墻上對(duì)域管理員進(jìn)行ISA 完全控制的授權(quán)； 建立通過(guò)驗(yàn)證的域管理員訪問(wèn)外部所有協(xié)議的訪問(wèn)規(guī)則； 測(cè)試該訪問(wèn)規(guī)則，通過(guò)IP 地址來(lái)訪問(wèn)外部的Web 服務(wù)器； 在內(nèi)部AD 的DNS 服務(wù)器上設(shè)置DNS 轉(zhuǎn)發(fā)； 建立訪問(wèn)規(guī)則，允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問(wèn)外部的DNS 服務(wù)； 測(cè)試內(nèi)部DNS 解析請(qǐng)求的轉(zhuǎn)發(fā)，并通過(guò)域名來(lái)訪問(wèn)外部的Web 站點(diǎn)； 配置ISA 防火墻，允許其訪問(wèn)外部站點(diǎn) 1、在獨(dú)立服務(wù)器上安裝ISA 防火墻 關(guān)于ISA Server 2004的安裝已經(jīng)有多篇文章介紹了，在此就不重復(fù)。根據(jù)本次試驗(yàn)的網(wǎng)絡(luò)拓

樸結(jié)構(gòu)，在內(nèi)部網(wǎng)絡(luò)選擇時(shí)，通過(guò)添加適配器來(lái)勾選內(nèi)部網(wǎng)絡(luò)接口就可以了。安裝好后，內(nèi)部網(wǎng)絡(luò)如下圖所示：

?

? 此時(shí)，在防火墻策略中只有默認(rèn)規(guī)則：

?

? 雖然只有默認(rèn)規(guī)則，但是ISA 防火墻的系統(tǒng)策略中是允許ISA 防火墻訪問(wèn)域服務(wù)，所以我們依然

可以訪問(wèn)內(nèi)部的域。

?

? 2、將ISA 防火墻計(jì)算機(jī)加入域

? 現(xiàn)在我們需要將Florence 加入到內(nèi)部域中。使用管理員賬號(hào)登錄Florence ，右擊我的電腦，打

開(kāi)系統(tǒng)屬性，然后在計(jì)算機(jī)名頁(yè)，點(diǎn)擊更改；在彈出的計(jì)算機(jī)名稱更改頁(yè)，點(diǎn)擊隸屬于列表下面的域，然后輸入內(nèi)部域的名字Contoso.com ，然后點(diǎn)擊確定。

?

? 此時(shí)，系統(tǒng)會(huì)讓你輸入有加入該域權(quán)限的賬戶，輸入域管理員賬號(hào)和密碼，點(diǎn)擊確定；

?

? 系統(tǒng)驗(yàn)證無(wú)誤后，會(huì)彈出歡迎加入contoso.com 域的對(duì)話框，點(diǎn)擊確定；

?

? 系統(tǒng)會(huì)提示你需要重啟計(jì)算機(jī)，點(diǎn)擊確定，然后重啟ISA 防火墻計(jì)算機(jī)；

?

?

? 3、在ISA 防火墻上對(duì)域管理員進(jìn)行ISA 完全控制的授權(quán) 由于我是先安裝ISA Server 2004，然后再加入域，此時(shí)，域管理員沒(méi)有對(duì)ISA Server 的管

理權(quán)限。如果是計(jì)算機(jī)先加入域然后再安裝ISA Server ，那么域管理員也會(huì)有完全的管理權(quán)限，這一步就可以省略了。

?

? 現(xiàn)在，我們需要對(duì)域管理員進(jìn)行ISA Server 的完全管理授權(quán)： 首先使用本地管理賬戶登錄ISA 計(jì)算機(jī)，

?

? 打開(kāi)ISA 管理控制臺(tái)，點(diǎn)擊常規(guī)，再點(diǎn)擊右邊面板的管理委派，

?

? 此時(shí)彈出I SA 服務(wù)器管理委派向?qū)?，點(diǎn)擊下一步； ?

? 在委派控制頁(yè)，點(diǎn)擊添加；

?

? 在管理委派對(duì)話框，點(diǎn)擊瀏覽； ?

? 在選擇用戶和組對(duì)話框，輸入contosodomain admins ，點(diǎn)擊確定；

?

? 由于此時(shí)是登錄到本機(jī)，沒(méi)有contoso 域的瀏覽權(quán)限，所以系統(tǒng)會(huì)提示你輸入對(duì)contoso.com

有權(quán)限的賬號(hào)，在此輸入域管理員賬號(hào)，點(diǎn)擊確定；

?

? 然后在管理委派頁(yè)點(diǎn)擊確定；

?

? 在委派控制頁(yè)，點(diǎn)擊下一步； ?

? 在完成管理委派向?qū)ы?yè)，點(diǎn)擊完成；